入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現:
· 監視、分析用戶及系統活動;
· 系統構造和弱點的審計;
· 識別反映已知進攻的活動模式并向相關人士報警;
· 異常行為模式的統計分析;
· 評估重要系統和數據文件的完整性;
· 操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網絡安全。而且,入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網絡連接、記錄事件和報警等。
一、信息收集
入侵檢測的第一步是信息收集,內容包括系統、網絡、數據及用戶活動的狀態和行為。而且,需要在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,這除了盡可能擴大檢測范圍的因素外,還有一個重要的因素就是從一個源來的信息有可能看不出疑點,但從幾個源來的信息的不一致性卻是可疑行為或入侵的最好標識。
當然,入侵檢測很大程度上依賴于收集信息的可靠性和正確性,因此,很有必要只利用所知道的真正的和精確的軟件來報告這些信息。因為黑客經常替換軟件以搞混和移走這些信息,例如替換被程序調用的子程序、庫和其它工具。黑客對系統的修改可能使系統功能失常并看起來跟正常的一樣,而實際上不是。例如,unix系統的PS指令可以被替換為一個不顯示侵入過程的指令,或者是編輯器被替換成一個讀取不同于指定文件的文件(黑客隱藏了初試文件并用另一版本代替)。這需要保證用來檢測網絡系統的軟件的完整性,特別是入侵檢測系統軟件本身應具有相當強的堅固性,防止被篡改而收集到錯誤的信息。
入侵檢測利用的信息一般來自以下四個方面:
1.系統和網絡日志文件
黑客經常在系統日志文件中留下他們的蹤跡,因此,充分利用系統和網絡日志文件信息是檢測入侵的必要條件。日志中包含發生在系統和網絡上的不尋常和不期望活動的證據,這些證據可以指出有人正在入侵或已成功入侵了系統。通過查看日志文件,能夠發現成功的入侵或入侵企圖,并很快地啟動相應的應急響應程序。日志文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄“用戶活動”類型的日志,就包含登錄、用戶ID改變、用戶對文件的訪問、授權和認證信息等內容。很顯然地,對用戶活動來講,不正常的或不期望的行為就是重復登錄失敗、登錄到不期望的位置以及非授權的企圖訪問重要文件等等。
2.目錄和文件中的不期望的改變
網絡環境中的文件系統包含很多軟件和數據文件,包含重要信息的文件和私有數據文件經常是黑客修改或破壞的目標。目錄和文件中的不期望的改變(包括修改、創建和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產生的指示和信號。黑客經常替換、修改和破壞他們獲得訪問權的系統上的文件,同時為了隱藏系統中他們的表現及活動痕跡,都會盡力去替換系統程序或修改系統日志文件。
3.程序執行中的不期望行為
網絡系統上的程序執行一般包括操作系統、網絡服務、用戶起動的程序和特定目的的應用,例如數據庫服務器。每個在系統上執行的程序由一到多個進程來實現。每個進程執行在具有不同權限的環境中,這種環境控制著進程可訪問的系統資源、程序和數據文件等。一個進程的執行行為由它運行時執行的操作來表現,操作執行的方式不同,它利用的系統資源也就不同。操作包括計算、文件傳輸、設備和其它進程,以及與網絡間其它進程的通訊。
一個進程出現了不期望的行為可能表明黑客正在入侵你的系統。黑客可能會將程序或服務的運行分解,從而導致它失敗,或者是以非用戶或管理員意圖的方式操作。
4. 物理形式的入侵信息
這包括兩個方面的內容,一是未授權的對網絡硬件連接;二是對物理資源的未授權訪問。黑客會想方設法去突破網絡的周邊防衛,如果他們能夠在物理上訪問內部網,就能安裝他們自己的設備和軟件。依此,黑客就可以知道網上的由用戶加上去的不安全(未授權)設備,然后利用這些設備訪問網絡。例如,用戶在家里可能安裝Modem以訪問遠程辦公室,與此同時黑客正在利用自動工具來識別在公共電話線上的Modem,如果一撥號訪問流量經過了這些自動工具,那么這一撥號訪問就成為了威脅網絡安全的后門。黑客就會利用這個后門來訪問內部網,從而越過了內部網絡原有的防護措施,然后捕獲網絡流量,進而攻擊其它系統,并偷取敏感的私有信息等等。
二、信號分析
對上述四類收集到的有關系統、網絡、數據及用戶活動的狀態和行為等信息,一般通過三種技術手段進行分析:模式匹配,統計分析和完整性分析。其中前兩種方法用于實時的入侵檢測,而完整性分析則用于事后分析。
1. 模式匹配
模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。該過程可以很簡單(如通過字符串匹配以尋找一個簡單的條目或指令),也可以很復雜(如利用正規的數學表達式來表示安全狀態的變化)。一般來講,一種進攻模式可以用一個過程(如執行一條指令)或一個輸出(如獲得權限)來表示。該方法的一大優點是只需收集相關的數據集合,顯著減少系統負擔,且技術已相當成熟。它與病毒防火墻采用的方法一樣,檢測準確率和效率都相當高。但是,該方法存在的弱點是需要不斷的升級以對付不斷出現的黑客攻擊手法,不能檢測到從未出現過的黑客攻擊手段。
2.統計分析
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性(如訪問次數、操作失敗次數和延時等)。測量屬性的平均值將被用來與網絡、系統的行為進行比較,任何觀察值在正常值范圍之外時,就認為有入侵發生。例如,統計分析可能標識一個不正常行為,因為它發現一個在晚八點至早六點不登錄的帳戶卻在凌晨兩點試圖登錄。其優點是可檢測到未知的入侵和更為復雜的入侵,缺點是誤報、漏報率高,且不適應用戶正常行為的突然改變。具體的統計分析方法如基于專家系統的、基于模型推理的和基于神經網絡的分析方法,目前正處于研究熱點和迅速發展之中。
3.完整性分析
完整性分析主要關注某個文件或對象是否被更改,這經常包括文件和目錄的內容及屬性,它在發現被更改的、被特絡伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(例如MD5),它能識別哪怕是微小的變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要是成功的攻擊導致了文件或其它對象的任何改變,它都能夠發現。缺點是一般以批處理方式實現,不用于實時響應。盡管如此,完整性檢測方法還應該是網絡安全產品的必要手段之一。例如,可以在每一天的某個特定時間內開啟完整性分析模塊,對網絡系統進行全面地掃描檢查。
入侵檢測系統的典型代表是ISS公司(國際互聯網安全系統公司)的RealSecure。它是計算機網絡上自動實時的入侵檢測和響應系統。它無妨礙地監控網絡傳輸并自動檢測和響應可疑的行為,在系統受到危害之前截取和響應安全漏洞和內部誤用,從而最大程度地為企業網絡提供安全。
三、入侵檢測功能
·監督并分析用戶和系統的活動
·檢查系統配置和漏洞
·檢查關鍵系統和數據文件的完整性
·識別代表已知攻擊的活動模式
·對反常行為模式的統計分析
·對操作系統的校驗管理,判斷是否有破壞安全的用戶活動。
·入侵檢測系統和漏洞評估工具的優點在于:
·提高了信息安全體系其它部分的完整性
·提高了系統的監察能力
·跟蹤用戶從進入到退出的所有活動或影響
·識別并報告數據文件的改動
·發現系統配置的錯誤,必要時予以更正
·識別特定類型的攻擊,并向相應人員報警,以作出防御反應
·可使系統管理人員最新的版本升級添加到程序中
·允許非專家人員從事系統安全工作
·為信息安全策略的創建提供指導
·必須修正對入侵檢測系統和漏洞評估工具不切實際的期望:這些產品并不是無所不能的,它們無法彌補力量薄弱的識別和確認機制
·在無人干預的情況下,無法執行對攻擊的檢查
·無法感知公司安全策略的內容
·不能彌補網絡協議的漏洞
·不能彌補由于系統提供信息的質量或完整性的問題
·它們不能分析網絡繁忙時所有事務
·它們不能總是對數據包級的攻擊進行處理
·它們不能應付現代網絡的硬件及特性
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。從網絡安全立體縱深、多層次防御的角度出發,入侵檢測理應受到人們的高度重視,這從國外入侵檢測產品市場的蓬勃發展就可以看出。在國內,隨著上網的關鍵部門、關鍵業務越來越多,迫切需要具有自主版權的入侵檢測產品。但現狀是入侵檢測僅僅停留在研究和實驗樣品(缺乏升級和服務)階段,或者是防火墻中集成較為初級的入侵檢測模塊。可見,入侵檢測產品仍具有較大的發展空間,從技術途徑來講,我們認為,除了完善常規的、傳統的技術(模式識別和完整性檢測)外,應重點加強統計分析的相關技術研究。
